AGC 表13 新建AGC服务扩展点 参数 说明 连接名称 服务扩展点的连接名称，支持中文、英文、数字、“-”、“_”、“.”、空格，不超过256个字符。 客户端id 待连接的AppGallery Connect API客户端的客户端ID，获取方法请参考AppGallery Connect官网。 密钥 待连接的AppGallery Connect API客户端的密钥，获取方法请参考AppGallery Connect官网。

通用Git 表6 新建通用Git服务扩展点 参数 说明 连接名称 服务扩展点的连接名称，支持中文、英文、数字、“-”、“_”、“.”、空格，不超过256个字符。 Git仓库Url 待连接的Git仓库的HTTPS地址，例如：https://*.*.*.*/user/repo.git。 用户名 待连接的Git仓库的用户名。 该参数为可选参数，请根据需要配置。 密码或Access Token 待连接的Git仓库的密码或Access Token。 该参数为可选参数，请根据需要配置。

操作场景 服务扩展点是CodeArts的一种扩展插件，为CodeArts提供连接第三方服务的能力。 当CodeArts中的一些任务需要连接到远程第三方服务，进行一些获取数据操作时，例如连接第三方GitHub仓库获取项目源码、连接第三方Jenkins服务执行Jenkins任务等，可以通过新建扩展点来实现与相应服务的连接。 CodeArts支持以下扩展点。 表1 服务扩展点 类型 使用场景 Docker repository 用于连接第三方Docker镜像仓库。连接成功后，部署服务可以获取仓库中的Docker镜像。 Jenkins 用于连接第三方Jenkins服务。连接成功后，可以在流水线中调用并执行Jenkins服务中所包含的任务。 Kubernetes 用于连接Kubernetes集群。连接成功后，可以对Kubernetes集群下发部署任务。 nexus repository 用于连接第三方私有Maven仓库。连接成功后，构建任务可以获取该仓库中的文件信息。 通用Git 用于连接第三方Git仓库。连接成功后，可以在流水线、构建等服务中获取该仓库的分支等信息。 码云Git 用于连接码云Git账号。连接成功后，可以在流水线、构建等服务中获取该账号的仓库、分支等信息。 GitHub 用于连接Github账号。连接成功后，可以在流水线、构建等服务中获取该账号的仓库、分支等信息。 IAM 账户 用于委托自己账号的AK/SK给需要执行任务的账号，在该账号执行部署任务的时候可以通过AK/SK获得被委托的账号的token执行更高权限的任务。 CodeArts Repo HTTPS 用于授权CodeArts服务对托管的Repo仓库进行代码下载、分支创建、分支合并、代码提交等操作。当前主要用于流水线服务的微服务变更功能模块及其相关插件。 Gerrit 用于连接第三方Gerrit仓库。连接成功后，可以在流水线、构建等服务中获取该仓库代码。 GitCode 用于连接GitCode账号。连接成功后，可以在流水线、构建等服务中获取该账号的仓库、分支等信息。 AGC 用于连接AGC Connect API。连接成功后，可以在流水线中使用该服务。

Jenkins 表3 新建Jenkins服务扩展点 参数 说明 连接名称 服务扩展点的连接名称，支持中文、英文、数字、“-”、“_”、“.”、空格，不超过256个字符。 Server URL 待连接的Jenkins服务的地址。支持输入格式为“http://ip:端口号”或者“https://ip:端口号”的地址。 用户名 待连接的Jenkins服务的用户名。 密码 待连接的Jenkins服务的密码。

Kubernetes 表4 新建Kubernetes服务扩展点 参数 说明 连接名称 服务扩展点的连接名称，支持中文、英文、数字、“-”、“_”、“.”、空格，不超过256个字符。 Kubernetes URL 待连接集群的server地址，可通过在集群配置文件“kubeconfig.json”中搜索“server”获取。 Kubeconfig 待连接集群的配置信息，可输入集群配置文件“kubeconfig.json”的全部内容。

GitHub服务 表8 新建GitHub服务扩展点 参数 说明 连接名称 服务扩展点的连接名称，支持中文、英文、数字、“-”、“_”、“.”、空格，不超过256个字符。 验证方式 支持两种验证方式。 OAuth认证：选择此方式，单击“授权并确定”后，需要登录GitHub进行手动授权。 AccessToken认证：选择此方式，需要输入通过GitHub获取的AccessToken。获取方法请参考GitHub官网。

codearts-extension.json文件定义 codearts-extension.json文件示例： { "type": "Task", "name": "demo_plugin", "friendlyName": "示例插件", "description": "这是一个示例插件", "category": "Gate", "version": "0.0.2", "versionDescription": "0.0.1初始化版本", "dataSourceBindings": [], "inputs": [ { "name": "samplestring", # 如插件业务脚本中使用${samplestring}获取运行者在流水线上配置的值 "type": "input", # 不同类型信息对应不同展示功能，可选项见下文 "description": "Sample String", # input条目的描述信息，用于描述其值含义 "defaultValue": "00", # 默认值，required属性为false时，如不在流水线上重新输入，则默认使用此值 "required": true, # true则流水线编辑时必须重新填值，false则不填使用默认值 "label": "测试输入框", # input条目在流水线编辑页面显示的名称信息 "validation": { "requiredMessage": "请输入值", # (可选) 如required字段为true，未填写时的提示信息 "regex": "^[a-zA-Z0-9-_\\u4e00-\\u9fa5]{1,32}$", #(可选)可填写正则校验的内容 "regexMessage": "类型错误" # (可选) 如正则校验失败的提示信息 } } ], "execution": { "type": "Shell", "target": "scripts/execution.sh" }, "outputs": [{ "name": "okey", # 输出名称 "type": "output", # 输出类型，output/metrics "description": "描述", "prop": { "defaultValue": "123" # 默认值 } }, { "name": "mkey", "type": "metrics", "description": "描述", "prop": { "defaultValue": "213", "group": "213" # 对应准出规则中的分组名称 } } ] } codearts-extension.json文件参数说明如下： 表2 codearts-extension.json文件参数说明 参数项 说明 type 填写固定值“Task”，标识为一个插件类型。 name 请与注册插件时页面填写的基本信息“唯一标识”字段一致。 friendlyName 请与注册插件时页面填写的基本信息“插件名称”字段一致。 category 请与注册插件时页面填写的基本信息“插件类型”字段一致，包括以下可选值： Build：对应“构建”插件类型。 Test：对应“测试”插件类型。 Gate：对应“代码检查”插件类型。 Normal：对应“通用”插件类型。 Deploy：对应“部署”插件类型。 version 插件版本，支持填写3组0-99的数字，如需新增正式版本，请修改此字段。 description 插件的描述信息。 versionDescription 此版本插件的描述信息，建议体现每个版本的差异点。 dataSourceBindings 此字段暂时未启用，请将值设置为“[]”。 inputs 插件输入内容，对应流水线页面插件展示格式，其值可在业务脚本中通过引用环境变量的方式引用。 execution 业务插件执行内容，其中type字段为业务脚本语言类型，target字段为执行文件入口，建议放在scripts文件夹下。 outputs 插件输出内容，在插件运行结束后写入此处定义值，可对应用作门禁指标metrics，不同的展示结果output。output用于流水线上下文，输出内容可以在后续阶段使用或者在任务运行结果处展示；metrics的数据用于创建准出规则，具体参数信息请参考表6。

准备自定义插件包 插件包结构 图1 插件包结构 文件结构 extension.zip # 插件zip包 | -- scripts # （可选）脚本文件夹，用于存放包含插件执行逻辑的脚本 | | -- xxx # 包含插件执行逻辑的脚本 | -- i18n # （可选）多语言，存放所有文案信息 | | -- zh-cn # 中文环境内容 | | -- resource.json # 对应语言的国际化资源 | | -- en-us # 英文环境内容 | | -- resources.json # 对应语言的国际化资源 | -- codearts-extension.json # （必选）插件执行定义文件，Json格式，包括扩展插件的基本信息+input+execution 注意事项 插件包必须为.zip后缀。 插件包根目录下必须包含元数据文件codearts-extension.json，codearts-extension.json文件介绍请参考codearts-extension.json文件定义。 resources.json文件只能使用utf-8进行编码，不支持中文标点符号与其他编码形式，若输入则为乱码展示。

编排流水线阶段 访问CodeArts Pipeline首页。 在流水线列表页搜索目标流水线，单击操作列，选择“编辑”。 进入流水线“任务编排”页面，单击或“新建阶段”，可以为流水线添加新的阶段，添加完阶段后，可根据实际需要编辑、复制、删除、移动阶段、配置阶段准入类型。 表1 管理阶段 操作项 说明 编辑阶段 单击，弹出“编辑阶段”弹窗，可以配置阶段名称和阶段是否总是运行。 总是运行：选择“是”，表示流水线执行时，该阶段下的任务默认选中必须执行且不可取消。 总是运行：选择“否”，表示流水线执行时，该阶段下的任务默认选中但可以取消。 复制阶段 单击，可以复制流水线阶段。 删除阶段 单击，根据删除提示确认是否删除阶段。 排序阶段 单击不松开，可以移动阶段调整阶段顺序。 阶段准入 通过阶段准入校验，控制流水线阶段的执行。单击，弹出“准入设置”窗口，可以配置阶段准入类型。 自动：默认执行方式，流水线执行时自动进入下一阶段继续运行。 手动：流水线执行时需手动确认后才能进入下一阶段继续运行。 时间窗：流水线执行时需在配置好的时间段才能进入下一阶段继续执行。 准出条件 流水线服务提供基于规则和策略的准出条件管理能力，是指在流水线阶段中配置的用于自动化看护的质量指标卡点，通过配置规则和策略，来实现阶段准出校验，并最终控制流水线的执行。 规则：基于扩展插件的输出阈值，设置比较关系和阈值条件，供策略使用，并最终应用到流水线准出条件中，作为准出条件的判断依据。配置方法请参考配置流水线规则。 策略：策略是一系列规则的集合，每个规则对应了一个步骤插件的输出指标值的条件模板，通过预定义策略，可以很方便地在多条不同流水线中应用同样的准出条件。策略实行分层管理，可分为租户级策略和项目级策略。用户可根据需要将策略资源应用到流水线作为准出条件来控制流水线的执行，保障产品交付质量。 说明： 当前仅支持“标准策略准出条件”，可以选择当前项目或租户下创建好的策略。 流水线可以在各阶段单独设置准出条件，准出条件只对当前阶段有效。 同一阶段中可以配置多个不同的准出条件。 单击阶段下方“准出条件”，弹出“准出条件”侧滑框，将鼠标移动到准出条件卡片，单击“添加”。 填写准出条件名称，选择策略。 单击“确定”，即可添加一个准出条件。 阶段编排完成后，保存流水线。

配置流水线项目级策略 项目级策略是一种项目级别的资源，可应用于当前项目下所有流水线的准出条件。 访问CodeArts Pipeline首页，进入项目下流水线。 单击“策略”，进入项目级策略列表页面。 单击“新建策略”，进入“新建策略”页面，填写参数信息。 表4 项目级策略参数信息 参数项 说明 名称 策略名称，默认根据当前时间生成。支持输入中文、大小写英文字母、数字、“-”、“_”，长度不超过128个字符。 规则 选中的规则会在界面右侧展示，可对每条规则进行如下操作： 编辑：单击规则右上方“详情”，可查看规则详情，继续单击右上方“编辑”，可修改规则。 开关：单击规则右上方，可打开/关闭规则，关闭后，该规则在应用到流水线准出条件中会自动关闭并不做拦截校验。 说明： 单个策略中最多可配置20个规则。 单击“确定”，即可在策略列表生成一条项目级策略。 在策略列表页面，单击列表右侧，可编辑策略。 在策略列表页面，单击列表右侧，可查看策略，继续单击右上方“编辑”，可编辑策略。 在策略列表页面，单击列表右侧，选中“复制”，可基于当前策略快速复制一个策略。 在策略列表页面，单击列表右侧，选中“删除”，弹出删除警告对话框，确认后单击“删除”，可删除策略。 删除策略时，系统会提示当前有多少流水线引用了该策略，删除后相关流水线调度运行时会运行失败。 在策略列表页面，单击列表右侧，可以打开/关闭策略， 关闭策略时，如果策略有被引用，系统会提示当前有多少流水线引用了该策略，关闭后相关流水线调度运行时会忽略该策略中的准出条件。 在策略列表页面，单击页面右上方“租户策略”，打开“租户策略”侧滑框，可以查看、复制和继承租户级策略。 查看：单击操作列，可查看租户级策略，继续单击右上方“编辑”，可编辑租户级策略。 复制：单击操作列，可基于当前租户级策略复制一个项目级策略。 继承：单击操作列，可基于当前租户级策略继承一个项目级策略，通过继承生成的项目级策略，继承的规则实时和父租户级策略保持一致。

方案概述 通过配置代码仓与流水线，实现对合并请求的自动化门禁，提升代码质量和团队协作效率。通过设置合并请求触发流水线，确保每个合并请求在创建或更新时自动执行代码检查、构建和测试任务，只有经过严格代码审查的代码才能合并到主分支。这种机制可以有效减少因代码缺陷而导致的生产环境问题，保证代码的稳定性和可靠性，从而强化代码的质量控制。整体而言，该方案为团队提供了一种高效且可靠的工作流程，促进了持续集成与持续交付的最佳实践。

审计与日志 审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录流水线的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的流水线操作列表，请参见云审计服务支持的操作列表。 日志 出于分析或审计等目的，用户开启了云审计服务后，系统开始记录流水线资源的操作。云审计服务管理控制台保存最近7天的操作记录。 父主题： 安全

数据保护技术 流水线通过多种数据保护手段和特性，保证通过流水线的数据安全可靠。 表1 流水线的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） 流水线所有API均采用HTTPS传输协议。 构造请求 个人数据保护 流水线通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 云审计服务支持的操作列表 隐私数据保护 涉及到用户的数据库账号信息需要存储时，提供敏感 数据加密 存储。 - 数据备份 支持用户数据备份。 - 父主题： 安全

身份认证与访问控制 身份认证 用户访问流水线的方式有多种，包括流水线用户界面、API，无论访问方式封装成何种形式，其本质都是通过流水线提供的REST风格的API接口进行请求。 流水线的接口需要经过认证请求后才可以访问成功。流水线支持两种认证方式： Token认证：通过Token认证调用请求，访问流水线服务用户界面默认使用Token认证。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。请参见AK/SK鉴权。关于认证鉴权的详细介绍及获取方式，请参见认证鉴权。 访问控制 流水线支持通过权限控制（IAM权限）进行访问控制。 表1 流水线访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限。 IAM产品介绍、流水线权限管理 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全